CMS Albiñana & Suárez de Lezo
El pasado 4 de junio el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) adoptó las directrices 1/2019, en relación con la presentación, aprobación y publicación de Códigos de Conducta, cuyo objetivo es proporcionar una orientación práctica en la interpretación de los artículos 40 y 41 RGPD, estableciendo los criterios mínimos de admisibilidad y aprobación que las Autoridades de Protección de Datos competentes deberán tener en cuenta antes de realizar un análisis de su contenido.
Los Códigos de Conducta (en adelante “Códigos”) son herramientas de responsabilidad proactiva voluntarias, que establecen normas de protección de datos aplicables a determinados Responsables y Encargados del tratamiento, pertenecientes a sectores específicos de actividad. Se trata de mecanismos de autorregulación a los que el RGPD otorga una notable importancia.
La creación de Códigos presenta ventajas, pues constituyen un mecanismo para acreditar el cumplimiento del RGPD, sirven para harmonizar las diferencias que pudieran existir entre Estados Miembro en la aplicación de la normativa en materia de protección de datos y además proporcionan un grado de autonomía y control para que los Responsables y Encargados puedan formular y acordar normas que promuevan mejores prácticas en sus sectores.
En cuanto a los requisitos formales de admisibilidad, el Código ha de ser presentado por una asociación o consorcio de asociaciones que representen a categorías de Responsables o Encargados, que serán los “Propietarios del Código”. Estos propietarios deberán demostrar ante la Autoridad competente que son un órgano representativo efectivo y tienen la capacidad de definir y entender las necesidades de la actividad del sector en el que se pretende aplicar el Código.
Es importante que el Código vaya acompañado de una exposición de motivos y de documentación justificativa que explique cuál es la finalidad del Código, su alcance, y de qué manera va a facilitar la aplicación efectiva del RGPD. Además, se ha de definir el alcance territorial del Código, es decir, se ha de especificar si es un código nacional o transfronterizo, e identificar todas las jurisdicciones en las que se pretende aplicar.
Por otro lado, el Código debe incluir información acerca del proceso de consulta que se haya llevado a cabo de acuerdo con el considerando 99 RGPD, que especifica que las partes interesadas, así como los titulares de los datos, deberán ser consultados, cuando ello sea posible.
Una vez la Autoridad competente haya analizado los criterios de admisibilidad, deberá determinar si el Código pasa a la siguiente fase, consistente en la evaluación completa de su contenido de acuerdo con los artículos 40 y 41 RGPD. En consecuencia, vamos a analizar los criterios que la Autoridad competente ha de tener en cuenta a la hora de aprobar el Código.
En primer lugar, es preciso demostrar que el Código es necesario, es decir, que resuelve cuestiones complejas que surgen de tratamientos de datos llevados a cabo en un determinado sector. Ello se debe conseguir a través de normas y reglas claras e inequívocas que muestren mejoras específicas en términos de cumplimiento de la normativa en materia de protección de datos.
Además, el Código ha de proporcionar mecanismos que permitan supervisar el cumplimiento de las normas incluidas en él. Por ello se ha de nombrar un Organismo de Control (interno o externo), que será el punto de contacto con la Autoridad Competente, y que tendrá la potestad de controlar y ejecutar el cumplimiento del Código a través de sanciones, auditorías y procedimientos de resolución de controversias que permitan corregir los incumplimientos de las disposiciones del Código.
El Organismo de Control ha de ser acreditado por la Autoridad competente de acuerdo con los criterios establecidos en el artículo 41 RGPD. Estos criterios se pueden resumir en (i) independencia e imparcialidad en sus funciones respecto de la industria o sector en el que se aplica el Código (ii) abstención de realizar cualquier acción que sea incompatible con sus tareas y ofrecimiento de garantías que acrediten que no ejercerá ninguna ocupación que suponga un conflicto de interés (iii) nivel de experiencia necesario para desempeñar su función de manera eficaz (iv) implantación de procedimientos y estructuras para monitorizar activa y efectivamente el cumplimiento del Código por parte de sus miembros (v) implantación de un proceso de gestión de reclamaciones imparcial y transparente que sea accesible al público (vi) creación de mecanismos de revisión adecuados para garantizar que el código siga siendo pertinente y siga contribuyendo a la correcta aplicación del RGPD.
Finalmente, cuando la Autoridad competente haya analizado todas las cuestiones expuestas anteriormente, deberá emitir un dictamen a través del cual determine la aprobación o denegación del Código y las bases sobre las que asienta su decisión.
Sólo queda determinar si la adopción de estas directrices promueve que las entidades de diferentes sectores de la industria se animen a elaborar su propios Códigos, y por tanto contribuyen a su autorregulación a partir de la normativa establecida.
¿Te ha gustado este artículo?
SUSCRÍBETE A NUESTRA NUEVA NEWSLETTER
Hemos creado para ti una selección de contenidos para que los recibas cómodamente en tu correo electrónico. Descubre nuestro nuevo servicio.